Trong bối cảnh sự phát triển mạnh mẽ của khoa học công nghệ, truyền thông vô tuyến băng rộng qua khoảng cách xa đang là nhu cầu thiết yếu mang lại nhiều lợi ích cho người sử dụng. Bên cạnh việc cung cấp truy cập Internet vô tuyến tốc độ cao qua khoảng cách xa, các trò chơi trực tuyến, video theo yêu cầu và hộ nghị truyền hình, VoIP . thì việc quản lý và bảo mật khoá truy nhập cho lĩnh vực di động cũng đang được chú ý tới.
Đề tài “Giao thức quản lý bảo mật khoá” của chúng em với mục đích tìm hiểu một cách khá tổng quan về cách quản lý và bảo mật khoá dùng trong công nghệ Wimax để chúng ta có thể hiểu vì sao công nghệ này lại cần có các giao thức dùng để bảo mật thông tin và quản lý thông tin thông qua chức năng mã hoá khoá. Các giao thức nào được dùng trong bảo mật và để đảm bảo thông tin trao đổi qua lại của người dùng chúng ta cần phải có biện pháp và cách quản lý khoá phù hợp và đưa ra được phương thức truy nhập cụ thể cho từng người dùng. Wimax di động hỗ trợ các đặc điểm bảo mật tốt nhất bằng cách thêm vào các công nghệ tốt nhất có sẵn hiện nay. Hỗ trợ nhận thực lẫn nhau giữa thiết bị/ người dùng, giao thức quản lí khóa mềm dẻo, mật mã hóa lưu lượng mạnh mẽ, bảo vệ bản tin mặt phẳng quản lí và điều khiển và tối ưu giao thức bảo mật cho các chuyển giao nhanh.
Cuốn tài liệu được chia làm 3 phần, trong đó phần I giới thiệu chung về giao thức PKM trình bày về nguồn gốc và mục đích của PKM; phần II giao thức PKMv1 trình bày về cơ sở, nguyên lý hoạt động của PKMv1 và chuyển tiếp khoá và đồng bộ khoá AK, TEK; phần III giao thức PKMv2 trình bày sự trao đổi qua lại giữa BS và MS.
21 trang |
Chia sẻ: tuandn | Lượt xem: 2220 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đề tài Giao thức quản lý bảo mật khóa PKM, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
TỔNG CÔNG TY BƯU CHÍNH VIỄN THÔNG VIỆT NAM
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
TRUNG TÂM ĐÀO TẠO BƯU CHÍNH VIÊN THÔNG I
---------------------------------
BÀI TẬP LỚN MÔN KỸ THUẬT VIỄN THÔNG
GIAO THỨC QUẢN LÝ BẢO MẬT KHOÁ (PKM)
Giáo viên hướng dẫn : Nguyễn Việt Hùng
Nhóm 5: Nguyễn Kim Chung
Đặng Thị Hạnh
Nguyễn Thị Nhã
Ngô Thị Thu
Hà nội tháng 6 năm 2007
LỜI NÓI ĐẦU
Trong bối cảnh sự phát triển mạnh mẽ của khoa học công nghệ, truyền thông vô tuyến băng rộng qua khoảng cách xa đang là nhu cầu thiết yếu mang lại nhiều lợi ích cho người sử dụng. Bên cạnh việc cung cấp truy cập Internet vô tuyến tốc độ cao qua khoảng cách xa, các trò chơi trực tuyến, video theo yêu cầu và hộ nghị truyền hình, VoIP …. thì việc quản lý và bảo mật khoá truy nhập cho lĩnh vực di động cũng đang được chú ý tới.
Đề tài “Giao thức quản lý bảo mật khoá” của chúng em với mục đích tìm hiểu một cách khá tổng quan về cách quản lý và bảo mật khoá dùng trong công nghệ Wimax để chúng ta có thể hiểu vì sao công nghệ này lại cần có các giao thức dùng để bảo mật thông tin và quản lý thông tin thông qua chức năng mã hoá khoá. Các giao thức nào được dùng trong bảo mật và để đảm bảo thông tin trao đổi qua lại của người dùng chúng ta cần phải có biện pháp và cách quản lý khoá phù hợp và đưa ra được phương thức truy nhập cụ thể cho từng người dùng. Wimax di động hỗ trợ các đặc điểm bảo mật tốt nhất bằng cách thêm vào các công nghệ tốt nhất có sẵn hiện nay. Hỗ trợ nhận thực lẫn nhau giữa thiết bị/ người dùng, giao thức quản lí khóa mềm dẻo, mật mã hóa lưu lượng mạnh mẽ, bảo vệ bản tin mặt phẳng quản lí và điều khiển và tối ưu giao thức bảo mật cho các chuyển giao nhanh.
Cuốn tài liệu được chia làm 3 phần, trong đó phần I giới thiệu chung về giao thức PKM trình bày về nguồn gốc và mục đích của PKM; phần II giao thức PKMv1 trình bày về cơ sở, nguyên lý hoạt động của PKMv1 và chuyển tiếp khoá và đồng bộ khoá AK, TEK; phần III giao thức PKMv2 trình bày sự trao đổi qua lại giữa BS và MS.
MỤC LỤC
LỜI NÓI ĐẦU i
MỤC LỤC i
1. Giới thiệu chung về giao thức (PKM) 1
1.1. Định nghĩa 1
1.2. Nguồn gốc và mục đích của PKM 1
2. Giao thức PKMv1 2
2.1. Cơ sở và nguyên lý hoạt động của PKMv1 2
2.1.1. Cơ sở về giao thức PKM 2
2.1.2. Thiết lập khóa xác thực 3
2.2. Pha xác lập khoá xác thực (AK) 4
2.3. Pha trao đổi TEK 5
2.4. Việc chuyển tiếp khoá và đồng bộ 6
2.4.1. Chuyển tiếp AK 6
2.4.2. Chuyển tiếp TEK 7
3. Giao thức PKMv2 8
3.1. Xác thực qua lại giữa BS và MS 8
3.2. Xác thực và điều khiển truy nhập trong PKMv2 8
3.2.1. Xác thực qua lại dựa trên khoá công khai trong PKMv2 8
3.2.1.1. Tin nhắn yêu cầu cấp phép 9
3.2.1.2. Tin nhắn phản hồi việc cấp phép 9
3.2.1.3. Tin nhắn cấp phép 10
3.2.2. Xác thực qua lại dựa trên EAP trong PKMv2 10
3.2.2.1. Ba cách thay đổi giữa trạm gốc và trạm di động 10
3.2.3. Khoá phân cấp PKMv2 11
3.2.3.1. Sự thiết lập khoá xác thực và nguồn gốc
thuật toán khoá công cộng thay đổi 11
3.2.3.2. Nguồn gốc mật mã khoá và việc sinh khoá mật mã
lưu lượng 12
3.2.4. So sánh với PKMv1 13
TÀI LIỆU THAM KHẢO 15
KẾT LUẬN 15
TỪ VIẾT TẮT
TỪ VIẾT TĂT
NGHĨA TIẾNG ANH
NGHĨA TIẾNG VIÊT
AAA
Authentication,authorization and Account
Nhận thực, cấp phép và lập tài khoản
ADSL
Asymmetric Digital Subcriber Line
Đường dây thuê bao số bất đối xứng
AES
Advance Ecryption Standard
Chuẩn mật mã nâng cao
AK
Authorization Key
Khóa nhận thực
ANSI
American National Standards Institute
Viện Quốc Gia Mỹ
ASN
Access Service Network
Mạng dịch vụ truy nhập
ATM
Asynchronuos Transfer Mode
Phương thức truyền dẫn không đồng bộ
B
BER
Bit Error Ratio
Tỉ số tín hiệu trên nhiễu
BPSK
Binary Phase shift Keying
Khóa chuyển pha nhị phân
B-RAS
BroadBand Remote Access Server
Máy chủ truy nhập băng rộng từ xa
BS
Base Station
Trạm gốc
BWA
Broadband Wireless Access
Truy nhập không dây băng rộng
C
CDMA
Code Division Multiple Access
Đa truy nhập phân chia theo mã
CPE
Customer Premises Equipment
Thiết bị truyền thông cá nhân
D
DES
Data Encryption Standard
Chuẩn mật mã hóa dữ liệu
F
FDD
Frequency Division Duplexing
Song công phân chia theo tần số
FDM
Frequence Division Mutiplexing
Ghép kênh phân chia theo tần số
G
GFP
Generic Framing Procedure
Thủ tục định khung chung
GPRS
Generalized Packet Radio Service
Dịch vụ vô tuyến gói chung
GSM
Global System For Mobile Communicatons
Hệ thống toàn cầu cho truyền
thông di động
L
LAN
Local Area Network
Mạng vùng cục bộ
LPF
Low Pass Filter
Bộ lọc thông thấp
M
MAC
Medium Access Control
Điều khiển truy nhập phương tiện
N
NAP
Network Access Provider
Nhà cung cấp truy nhập mạng
P
PAN
Personal Area Network
Mạng cá nhân
PKM
Privacy Key Management
Quản lí khóa bảo mật
PMP
Point to Multipoint
Điểm-đa điểm
Q
QPSK
Quadratura Phase Shift Keying
Khóa chuyển pha cầu phương
S
SA
Security Association
Kết hợp bảo mật
SAID
Security Association Identifier
Nhận dạng kết hợp bảo mật
SONET
Synchronous Optical Network
Chuẩn xác định truyền thông trên cáp quang
SS
Subscriber Station
Trạm thuê bao
T
TEK
Traffic Encryption Key
Khóa mật mã lưu lượng
TLS
Transport Layer Security
Bảo mật lớp truyền tải
W
WAN
Wide Area
Network mạng diện rộng
WDM
Wavelength Division Multiplexing
Ghép kênh đa bước sóng
WEP
Wired Equivalent Privacy
Bảo mật đương lượng hữu tuyến
Wi-Fi
Wireless Fidelity
Trung thực vô tuyến
WLAN
Wireless LAN
Mạng LAN không dây
WMAN
Wireless MAN
Mạng MAN không dây
1. Giới thiệu chung về giao thức (PKM)
Định nghĩa:
Giao thức quản lý khóa bảo mật có hiệu lực trong lớp con MAC thấp nhất: là lớp con bảo mật. Như IpSec (bảo mật IP), giao thức PKM dựa trên các kết hợp bảo mật (SA). Có một SA nhận thực, không được chỉ ra trong 802.16 và một SA dữ liệu cho mỗi kết nối truyền tải (và cũng có một kết nối quản lý thứ cấp)
Nguồn gốc và mục đích của PKM:
Các kỹ thuật bảo mật của 802.16-2004 dựa trên giao thức quản lý khóa bảo mật PKM đã được định nghĩa trong DOCSIS (các chi tiết kỹ thuật giao diện với dữ liệu qua dịch vụ cáp). DOCSIS được dùng ở Bắc Mỹ cho việc truyền tải dữ liệu đảm bảo qua các kết nối hữu tuyến ví dụ như DSL (đường dây thuê bao số). DOCSIS phát triển bởi CableLabs, cũng được dùng cho tivi cáp và được coi là đặc tả giao tiếp bảo mật cơ sở nâng cao hay BPI+.
Giao thức PKMv1
Trong phần này chúng ta sẽ xem xét khái quát giao thức PKM để thấy được một vài ngữ cảnh về hoạt động của giao thức này, đồng thời tóm tắt các loại bản tin trao đổi giữa BS và SS. Sau đó phân tích các phần liên kết bảo mật trong 802.16 đáng chú ý trong giao thức PKM. Vì đặc tả tầng giao thức an toàn 802.16 MAC rất gần với BPI+, do đó có thể tham khảo trực tiếp BPI+ để thông qua đó biết thêm thông tin về PKM
Cơ sở và nguyên lý hoạt động của PKMv1
2.1.1. Cơ sở về giao thức PKM
Giao thức PKM được SS sử dụng để xác thực và lấy khóa bảo mật từ BS, hỗ trợ xác thực định kỳ và làm mới khóa.
PKM sử dụng chứng chỉ số X.509 và DES 3 khóa đôi để đảm bảo trao đổi khóa giữa SS và BS cho trước theo mô hình client-server. Ở đây SS giống như client yêu cầu khóa trong khi BS là server, đáp ứng những yêu cầu đó, đảm bảo client SS chỉ nhận được duy nhất khóa mà client đã được xác thực. Đầu tiên PKM thiết lập một khóa ủy quyền (AK) là một khóa đối xứng bí mật được chia sẻ giữa SS và BS. AK được dùng để bảo đảm các trao đổi PKM tiếp theo cho các khóa mã hóa lưu lượng (TEK). Việc sử dụng AK và hệ thống mã khóa đối xứng (như DES) làm giảm bớt những tốn phí do các tính toán cho khóa công khai.
BS xác thực một SS trong quá trình trao đổi xác thực ban đầu. Như đã nói ở trên, mỗi thiết bị SS chứa một chứng chỉ thiết bị X.509 trong phần cứng do nhà sản xuất SS tạo ra. Chứng chỉ thiết bị SS chứa khóa công khai RSA (một nửa tính cá nhân được lưu trong phần cứng thiết bj), và các thông tin đặc trưng cho thiết bị như địa chỉ MAC, số serial, ID nhà sản xuất. Trong khi trao đổi xác thực, SS sẽ gửi một bản sao của chứng chỉ thiết bị cho BS. Sau đó BS phải kiểm tra cú pháp và thông tin trong chứng chỉ SS, và cũng có thể kiểm tra tính đúng đắn của đường dẫn chứng chỉ. Nếu thỏa mãn thì BS sẽ trả lời SS bằng cách mã hóa AK (được gán cho SS đó) sử dụng khóa công khai của SS (có được trong chứng chỉ đã nhận được từ SS). Do chỉ có thiết bị SS chứa khóa cá nhân đúng, chỉ thiết bị SS mới có thể giải mã bản tin và lấy được AK đã được gán cho nó (và bắt đầu sử dụng AK).
Chú ý rằng mặc dù chứng chỉ thiết bị SS được công khai cho mọi nguời, chỉ thiết bị SS mới truy cập được khóa cá nhân đúng của khóa công khai trong chứng chỉ. Như vậy để ngăn chặn thiết bị và chứng chỉ của nó bị sao chép, cần phải để khóa cá nhân trong phần cứng của thiết bị. Do đó, cái giá phải trả cho việc hacker lấy được khóa sẽ cao hơn nhiều so với việc hacker làm chủ được thiết bị.
2.1.2. Thiết lập khóa xác thực
Hình 1: Luồng giao thức PKM cơ bản
2.2 Pha xác lập khoá xác thực (AK)
Quá trình xác định quyền hạn của SS và AK từ BS gồm các bước sau, đầu tiên là chứng minh SS giống với BS thông qua tính xác thực:
Bước 1: SS xác định thông tin thông báo là dúng:
SS với tư cách là khách hàng mới có quy trình yêu cầu cấp quyền và gửi thông tin chính xác đến BS. Thông báo này có lựa chọn và không cần quan tâm đến bởi BS.( thông báo đến, có thể là thông báo yêu cầu cấp quyền và sẽ có nhiều hon nội dung thông báo nhu thế)
Ðầu tiên thông báo cho phép BS nhận thức được và có khả năng nghiên cứu về SS, xác định nội dung lượng thông tin thông báo:
- Ðịa chỉ MAC của SS
- Khoá công cộng RSA của SS
- Chứng nhận X509 của SS (chế tạo sản phẩm)
- Danh sách có khả năng hỗ trợ bằng mật mã bởi SS.
- Nhận dạng (SAID) SS của nguồn SA.
- Chứng nhận X509 CA của thiết bị chế tạo SS.
Chú ý: thông báo dó cho phép BS kiểm tra ngay xem SS có hiệu lực với nguồn SA hay không, có sản xuất hợp lý không.
Bước 2: SS thông báo yêu cầu cấp quyền
Ngay lập tức cho phép chứng minh thông tin là dúng và SS gửi đến BS thông báo yêu cầu cấp quyền, thậm chí còn yêu cầu cho AK và cho SIAD của một vài SA tĩnh trong SS được tham gia vào.
Thông báo yêu cầu cấp quyền bao gồm các thông số sau:
- Thiết bị SS phải có pass và ID
- Ðịa chỉ MAC của SS
- Khoá công cộng RSA của SS
- Chứng nhận X509 của SS
- Danh sách có khả năng hỗ trợ bằng mật mã bởi SS
- Nhận dạng (SAID) SS của nguồn SA.
Chú ý: (SAID) SS của nguồn SA bằng với nguồn kết nối ID hoặc CID nhận được từ BS.
Bước 3: BS thông báo trả lời cấp quyền
Trong khi nhận thông báo yêu cầu cấp quyền từ SS thì BS kiểm tra và chứng nhận, check các thiết đặt có khả năng mã hoá của SS.
Nếu tất cả đều tốt và đều hỗ trỡ cho BS một hoặc nhiều khả năng mã hoá của SS. BS gửi thông báo trả lời cấp quyền cho SS.
Thông báo này có nội dung như sau:
- Cấp phép cho khoá duy nhất và viết lại thành mật mã với khoá công cộng RSA của SS.
- Khoá chuỗi số 4 bit thuờng dùng để phân biệt giữa sự liên tục và các đời mới của AK.
- Tồn tại khoá sử dụng được trong AK.
- SAIDs của nguồn SA được thêm 0 hoặc thêm vào SAs tĩnh để SS cấp phép cho việc thu nhận thông tin về khoá.
SS này là của tất cả SAs tĩnh, BS có thông tin với liên kết của SS.
Trước đó SAID của nguồn SA sẽ bằng với nguồn CID.
Chú ý một trong các nguyên nhân bảo mật nguồn SA là phải đồng nhất trong thông báo trả lời cấp quyền.
Vì mục đích bảo mật nên phải luôn làm mới định kỳ AK bởi vì SS không gửi cho BS thông báo yêu cầu cấp quyền đó là phải giống nhau về quyền hạn(bước 2) ngoại trừ việc cấp phép cho SS không cần bắt đầu với việc gửi thông tin thông báo cấp quyền (bước 1).
Ðó là vì BS nhận biết được sẽ giống nhau của SS và có ít nhất 1 AK.
Chú ý: SS đã cho và BS có thể hỗ trợ đồng thời 2 hoạt động của khoá Aks.
2.3 Pha trao đổi TEK
Theo như thông báo trả lời cấp quyền (nội dung của SAIDs) từ BS báo cho biết quyền hạn của SS nhận được TEKs từ BS.
Như đã nói ở trên nội dung thông báo trả lời cấp quyền của SAIDs và nguồn SA là cộng 0 hoặc cộng vào nhiều hơn các SA tĩnh.
SS cho phép thu nhận thông tin của khoá, vì vậy phần tiếp của SS sẽ là bắt đầu của một trạng thái TEK riêng của mỗi SAIDs là đồng nhất trong thông báo trả lời cấp quyền.
Mỗi trạng thái TEK vận hành trong SS là nguyên nhân gây ra sẽ kết hợp khoá tương ứng với SAID. Bao gồm việc làm mới khoá cho các SAID ứng với tình trạng TEK trong SS sẽ thông báo yêu cầu cấp quyền.
Bước 4: SS thông báo yêu cầu khoá
SS đã cho gửi thông báo yêu cầu cấp quyền đến BS với nội dung như sau:
- Thiết bị SS phải có số serial và ID.
- Ðịa chỉ MAC của nguồn SA cần thiết được yêu cầu.
- HMAC tóm tắt thông báo khoá ( có giá trị giữ được lượng thông báo yêu của khóa)
Bước 5: BS thông báo trả lời khoá
BS trả lời thông báo yêu cầu khoá từ SS bằng cách gửi thông báo trả lời khoá đơn SS. Ưu tiên gửi thông báo trả lời khoá và BS kiểm tra sẽ đồng nhất của SS và thực hiện tóm tắt HMAC, kiểm tra việc nhận biết thông báo yêu cầu khoá hợp lệ và nhận biết sự xáo trộn của thông báo. Nếu tất cả đều tốt thì BS sẽ gửi thông báo trả lời khoá rằng nội dung đã được kích hoạt bằng khoá chính do SAID yêu cầu bởi SS. Nó cần thiết trong tất cả thời gian BS duy trì 2 hoạt động của khoá chính của mỗi SAID. Sự tồn tại của 2 thế hệ giống nhau được sinh ra trở thành hoạt động nửa vời trong suốt quá trình hoạt động của nó trước đó và kết thúc giữa chừng trong suốt quá trình hoạt động kế tiếp.
Khoá chính trong thông báo trả lời khoá bao gồm các nội dung sau:
- TEK ( viết lại thành mật mã không dưới 3 lần)
- Ðiểu khiển CBC bằng phương thức vô tuyến
- Chuỗi số khoá cho TEK
- Vẫn tồn tại thiết lập của 2 khoá chính
- Tóm tắt các thông báo về khoá HMAC ( có tính xác thực/ giữ được lượng thông báo trả lời khoá).
Chú ý: về thông tin thông báo trả lời khoá thì vẫn giữ nguyên trạng thái của 2 khoá chính. Ðó là sẽ giúp đỡ cần thiết để ước lượng thời gian của SS khi BS mất hiệu lực của TEK riêng.
Ngừng trả lời SS khi đưa vào chương trình khoá sau này yêu cầu rõ hơn và nhận được khoá chính mới trước khi làm mất hiệu lực của khoá chính BS.
Việc chuyển tiếp khoá và đồng bộ
Như đã nói ở phần 2.2 thì SS yêu cầu cấp quyền (Bước 2) và nhận được quyền từ BS trong khi BS trả lời cấp quyền (Bước 3) để thử SS với các kiểu khác của AK. Hoạt động có giá trị tồn tại trong AK phản ánh sự tồn tại của AK trong thời gian thông báo trả lời cấp quyền và gửi đến bởi BS. Nếu SS lỗi thì cho phép kết thúc của luồng AK. BS sẽ xem xét SS nhung không cho phép và remove tất cả bảng liên kết khoá TEK với nguồn SA của SS.
2.4.1 Chuyển tiếp AK
Chứng minh sự liên kết liên tục nhưng trên thực tế BS hỗ trợ cùng một lúc 2 hoạt động của AS cho mỗi SS cùng tồn tại. Thực hiện chuyển tiếp BS khi nhạn thông báo yêu cầu cấp quyền từ SS và BS chỉ tìm các hoạt động đơn của AK cho SS.
Tín hiệu này sẽ bắt đầu giai đoạn chuyển tiếp của AK. Sau khi BS gửi thông báo trả lời khoá với nội dung mới 2 lần của AS đến SS.
Hiện tại AK đầu tiên sẽ vẫn còn hiệu lực cho đến khi hết thời gian. AK thứ 2 sẽ tồn tại (trong BS) cùng với thời gian tồn tại của AK đầu tiên cộng lại.
Rõ ràng AK thứ 2 cần phải được tồn tại lâu hơn thời gian kết thúc của AK đầu tiên. AK thứ 2, mới sẽ phân công cho khoá một chuỗi số (modul 16) lớn hơn AK đầu, cũ.
Chú ý: khi thiết kế BS đã cho phải luôn luôn chuẩn bị yêu cầu từ SS và trả lời lại AK. Với ý nghĩa này nếu BS tiếp nhận thông báo yêu cầu cấp quyền từ SS trong phần giữa của chuyển tiếp BS đến AK mới,
BS sẽ đáp lại bằng cách gửi hoạt động của AK mới đến SS. Khi hết hiệu lực của khoá cũ và yêu cầu cấp quyền sẽ bắt đầu của một quá trình hoạt động của một AK mới khác và bắt đầg của một giai đoạn chuyển tiếp khoá mới.
2.4.2 Chuyển tiếp TEK
Tương tự việc sử dụng 2 khoá AK là BS và SS cũng cần phải chia sẻ cho 2 hoạt động của TEK mới SAID ở bất cứ thời gian nào. Ðể hoàn thành phải sử dụng yêu cầu khoá (bước 4) và trả lời khoá (bước 5) thông báo. Các TEk mới sẽ phân công cho khoá một số lớn hơn TEK cũ.
Chú ý: dù không giống AKs là sử dụng TEK để giữ thông báo đến, TEK bảo vệ sự luu thông dữ liệu trên cả 2 hướng là uplink và downlink. Như vậy mỗi chuyển tiếp của nó phức tạp hơn chuyển tiếp AK. Trong các thế hệ thì nó là thiết bị chuyển tiếp
BS của TEK và là sẽ đáp lại của SS đòi nâng cấp thành kiểu TEK tốt nhất.
Từ việc chuyển tiếp khoá là thước đo chủ yếu của chuyển tiếp TEK. Chuyển đổi BS giữa 2 hoạt động TEK khác nhau có phụ thuộc hay không.
- Với mỗi SAID sử dụng cho mục đích viết lại thành mật mã, việc kết thúc của TEK cũ hơn trong BS sẽ lập tức chuyển thành TEK mới.
- Giai đoạn chuyển tiếp uplink bắt đầu từ thời gian BS gửi thông báo trả lời khoá (nội dung TEK mới) và chuyển tiếp được so sánh khi TEK cũ hế hiệu lực. Trong suốt thời gian này nó tác động trở lại SS và chuyển tiếp bất chấp việc SS có chấp nhận TEK mới hay không, tại thời điểm hết hiệu lực của TEK cũ hơn thì BS sẽ chuyển sang TEK mới và viết lại thành một mã cho downlink traffic.
Từ việc áp dụng thực tế của 2 hoạt động TEKs, BS sẽ sử dụng TEK khác phụ thuộc vào việc sử dụng TEK cho downlink hoặc uplink traffic.
Từ mật mã downlink traffic (SS), BS sẽ sử dụng 2 hoạt động TEK cũ hơn, đó là vì BS biết chắc rằng SS sẽ có được từ 2 TEK cũ ( nhung không nhất thiết phải thu được TEK mới). Ðó là điều tất nhiên ở phần đầu gói tin ( tiêu đề TEK vẫn còn hiệu lực)
Trong khoảng thời gian tồn tại thực tế của TEK nó quan tâm đến downlink traffic (SS), BS sẽ viết lại thành mật mã và đưa đến TEK với 1/2 của TEK thứ 2 trên tổng thời gian tồn tại.
Trong giới hạn đơn việc trao hoạt động cho TEK cũ hơn sau đó sẽ vẫn hoạt động và SS chắc chắn sẽ có những TEK cũ hơn.
Do đó BS sẽ chắc chắn nhận được TEK cũ hơn và sẽ lựa chọn TEK mới khi nhìn thấy thông báo yêu cầu khoá từ SS. Khi dó uplink traffic (SS) BS sẽ có thể giải mã với TEK cho TEK toàn bộ thời gian tồn tại. Ðó là vì BS sẽ sở hữu cả 2 hoạt động của TEK. SS sẽ lựa chọn giải quyết từ uplink traffic đến BS
Giao thức PKMv2
Xác thực qua lại giữa BS và MS
Những nhà cung cấp dịch vụ muốn chắc chắn rằng những thuê bao có cấp phép mới có thể kết nối vào mạng lưới của họ. Chính vì vậy mà BS muốn phân loại tính xác thực và việc cấp phép của mỗi MS yêu cầu kết nối. Các thuê bao muốn kết nới với BSs hợp pháp để bảo vệ khỏi sự tấn công của các hacker trong vai trò người trung gian. Nói một cách khác thì MS cho phép đăng nhập mạng lưới của nhà cung cấp sẽ phân biệt được các BS đang kết nối với những nhà cung cấp dịch vụ hợp pháp
PKMv2 hỗ trợ 2 cơ chế cho tính xác thực này là: có thể sử dụng RSA keys cho mã khóa công khai dựa trên tính xác thực, hay EAP cho khóa bí mật dựa trên việc chứng minh tính xác thực. EAP là tính xác thực giao thức mạng và là sự gia tăng giao thức chung cho người sử dụng/ phân chia tính xác thực cho cổng vào mạng lưới (ví dụ: EAP hơn 802.1X của mạng có dây hay mạng không dây LAN ) hoặc truy cập từ xa (ví dụ: sử dụng EAP hơn IKEv2 cho tính xác thực và IPsec SA lắp đặt). Phương pháp EAP cũng giống như EAP-AKA cần thiết cho tính xác thực.
Xác thực và điều khiển truy nhập trong PKMv2
PKMv2 (1.2) sửa chữa hầu hết nếu không phải tất cả dòng trong thiết kế PKM. Đặc biệt là AES-CCM là MPU thuật toán mới ( xem chương 7 để biết tóm tắt về AES-CCM). CCM bao gồm dạng tính toán như chế độ đóng gói, và CBC-MAC như là tin nhắn giải thuật thống nhất. Nhắc lại rằng 802.11i phân chia (5) cũng sử dụng CCM, và như là dạng nhận lượng rộng
Các file đính kèm theo tài liệu này:
- Nhom05_PKM_wimax.doc
- Nhom05_PKM_wimax.ppt